S kým musíte uzavrieť sprostredkovateľskú zmluvu podľa GDPR?

To, kto je vlastne sprostredkovateľom a s kým musíte zmluvu uzavrieť, býva často rébusom. Sprostredkovateľská zmluva medzi vami, čiže prevádzkovateľom webstránky či majiteľom e-shopu a konkrétnym sprostredkovateľom, musí mať písomnú podobu, príp. preukázateľnú elektronickú podobu. Toto platilo pred GDPR a pokračuje to aj po 25. máji 2018. Navyše je táto zmluva povinnou súčasťou vašej dokumentácie k GDPR.

Kto za vás spracúva osobné údaje a je teda vaším sprostredkovateľom?

Sprostredkovateľom môže byť napr. Google, externí spolupracovníci (dizajnéri, účtovníci, marketingoví pracovníci atď.), poskytovatelia platobnej brány (GoPay, TrustPay a i.), sotvér pre e-mail marketing (MailChimp, SmartEmailing,…), platforma, na ktorej beží váš e-shop, kuriérske spoločnosti, Facebook (ten je aj prevádzkovateľom) a i.

Účely spracovávania osobných údajov neurčuje sprostredkovateľ ale prevádzkovateľ. Prevádzkovateľ si okrem toho určí aj podmienky spracovávania osobných údajov, čiže dobu spracovávania či právne náklady. Kým sprostredkovateľ nemá súhlas od prevádzkovateľa, nemôže osobné údaje poslať na spracovanie iným sprostredkovateľom. Taktiež má povinnosť vždy a ihneď informovať prevádzkovateľa, že jeho pokyny nie sú v súlade s pravidlami ochrany osobných údajov na základe zákona a GDPR (v tomto prípade ide o vzťah, ktorý je podobný vzťahu sluha – pán).

V prípade veľkých firiem zvyčajne dostanete návrh sprostredkovateľskej zmluvy priamo od nich, napr. MailChimp, Google Analytics a pod. Tento návrh nájdete na stránkach daných sprostredkovateľov často pod názvom Data Processing Agreement, príp. Data Processing Addendum. V prípade menších sprostredkovateľov (napr. vaši spolupracovníci) si môžete podľa zákona zmluvu vypracovať aj vy. Dôležité však je, aby ste si vybrali sprostredkovateľov so softvérmi primárne v EÚ.

Prečo mať radšej sprostredkovateľa so servermi v EÚ?

V prípade, že osobné údaje vašich zákazníkov prekračujú hranice Európskej únie, je potrebné, aby boli stále chránené rovnako ako v EÚ. Inak by ste nemohli vami zvolený softvér ďalej používať, resp. mohli, avšak s ohrozenou bezpečnosťou osobných údajov zákazníkov a tiež by vám hrozila pokuta.

Môže byť náročné zistiť, či je váš sprostredkovateľ so servermi umiestnenými mimo EÚ OK. Ak to pri niektorých sprostredkovateľoch nedokážete zistiť z ich webového sídla, príslušného zahraničného úradu, príp. prostredníctvom revízie uzavretých medzinárodných zmlúv v danej oblasti, je nevyhnutné, aby ste o vyjadrenie požiadali Úrad na ochranu osobných údajov. Vydanie ich stanoviska môže trvať určitú dobu.

Na základe informácií, ktoré úrad zverejnil na svojom webovom sídle, vám pri sprostredkovateľovi so servermi v USA môže pomôcť, keď má tento sprostredkovateľ certifikát v zmysle Medzinárodnej zmluvy EU-US Privacy Shield. Ďalšie informácie nájdete na stránke úradu. Platnosť certifikátu EU-US Privacy Shield(aktívny – neaktívny) si môžete overiť napr. pri poskytovateľovi softvéru MailChimp TU.

Aký má byť obsah sprostredkovateľskej zmluvy?

Primárne by v nej malo byť ustanovené, na čom je založený vzťah prevádzkovateľa a sprostredkovateľa (napr. na vašej zmluve o spolupráci).

Potom je potrebné, aby ste v nej zakotvili nasledovné informácie:

  1. Predmet a dobu spracovávania osobných údajov poskytnutých od prevádzkovateľa, ich povahu a účel spracovávania,
  2. zoznam, príp. rozsah spracovávaných osobných údajov a kategórie dotknutých osôb (napr. zákazníci, čitatelia a pod.),
  3. práva a povinnosti prevádzkovateľa,
  4. povinnosť sprostredkovateľa spracovávať osobné údaje iba na podklade písomných pokynov od prevádzkovateľa,
  5. povinnosť zachovať mlčanlivosť a tiež zabezpečiť zachovanie mlčanlivosti osôb, ktoré sú oprávnené spracovávať osobné údaje,
  6. povinnosť dodržiavať potrebné opatrenia bezpečného spracovávania osobných údajov na základe najnovších poznatkov (napr. šifrovanie, obnovy prístupov prostredníctvom dvojitých autentifikácií a i.),
  7. skutočnosť, že má sprostredkovateľ možnosť zapojiť do procesu aj iných sprostredkovateľov (napr. marketingový špecialista si objedná ďalšieho špecialistu – SEO odborníka), môže tak urobiť na základe vášho predchádzajúceho písomného súhlasu, príp. na základe všeobecného písomného poverenia, stále vás však o tom musí vopred informovať. V zmluve s ďalším sprostredkovateľom si musí prvý sprostredkovateľ dohodnúť také isté povinnosti v oblasti ochrany osobných údajov, aké má on sám voči vám. Napr. ak uniknú dáta na strane SEO odborníka, ktorý bol vybraný vaším marketérom, zodpovednosť voči vám nesie váš marketér,
  8. povinnosť vhodnými technickými a organizačnými opatreniami v čo najväčšej miere poskytnúť prevádzkovateľovi súčinnosť pri plnení jeho povinností;
  9. povinnosť vymazať osobné údaje, príp. ich vrátiť prevádzkovateľovi po skončení poskytovania služieb, ktoré sa týkajú spracovávania osobných údajov na základe rozhodnutia prevádzkovateľa a vymazať existujúce kópie,
  10. povinnosť poskytnúť prevádzkovateľovi informácie nevyhnutné na preukázanie splnenia zákonných povinností.

Sprostredkovateľ a zároveň prevádzkovateľ?

Veľa sprostredkovateľov plní zároveň úlohu prevádzkovateľa, resp. spoločného prevádzkovateľa s vami. Ukážkovým príkladom je Facebook. Servery má v Írsku, čiže v Európskej únii, čo je sčasti bezpečné. Údaje, ktoré mu poskytnete však nespracováva len na tie účely, ktoré mu stanovíte. Ide aj o účely, ktoré si stanoví sám (s údajmi robí rôzne „čary“ a z uvedeného dôvodu musel v nedávnej dobe prekonať viaceré kauzy, ktoré sa týkali úniku dát). Keďže si účely spracovávania určuje aj sám, v oblasti ochrany osobných údajov je pri určitých činnostiach v pozícii prevádzkovateľa, presne tak ako vy. S Facebookom by ste preto mali uzavrieť aj Zmluvu o spoločných prevádzkovateľoch, nielen Sprostredkovateľskú zmluvu. Vďaka tomu si navzájom ošetríte vzájomnú zodpovednosť, a teda kto, za čo a do akej miery zodpovedá pri prípadnom porušení ochrany osobných údajov.

Zdielajte!

V prípade, záujmu o naše služby stačí vyplniť kontaktný formulár

Na Vaše dotazy odpovieme IHNEĎ a so všetkým Vám radi pomôžeme.